форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"Снова Cisco NAT + Netflow"

Сообщение от Alan_2004 (ok) on 07-Июн-07, 10:57

Привет всем! Снимаю по Netflow трафик NAT-клиентов с Cisco 2811 известным способом с Loopback-интерфейсом. Мой Inside Global, например, 1.1.1.1. Штука в том, что для некоторых видов трафика (например, DNS UDP Response) "переворота" Inside Global в Inside Local не происходит - и по Netflow льется трафик от ns.xxxxxx.ru до моего 1.1.1.1, вместо 192.168.* Причем фактически-то NAT отрабатывает и клиент получает ответ - только в NetFlow внутреннего адреса клиента нет. Для трафика, flow которого нормально переворачивается, вижу следующую картину в кеше: (идет пинг от 192.168.1.5 до 64.233.187.99) # sh ip cache flow | incl 192.168.1.125 SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/0.13 64.233.187.99 Null 192.168.1.5 01 0000 0000 13 Fa0/1.20 192.168.1.5 Fa0/0.13 64.233.187.99 01 0000 0800 13 А вот для DNS-трафика (ns-сервер 62.183.127.3) вижу такое: SrcIf SrcIPaddress DstIf DstIPaddress Pr SrcP DstP Pkts Fa0/0.13 62.183.127.3 Local 1.1.1.1 11 0035 080A 1 Fa0/1.20 192.168.1.5 Null 62.183.127.3 11 0807 0035 1 Кстати, не могу еще понять, почему у меня DstIf Null. В доке написано, что этот пакет никуда не уйдет, зарубается на роутере и в netflow не попадает. Но у меня коллектор их получает нормально. Вот вкратце конфиг циски: interface Loopback0 ip address 10.10.10.10 255.255.255.224 ip route-cache policy ip route-cache flow ! interface FastEthernet0/0 no ip address ip route-cache policy ip route-cache flow no ip mroute-cache no cdp enable no mop enabled ! interface FastEthernet0/0.13 encapsulation dot1Q 13 ip address 1.1.1.1 255.255.255.252 ip nat outside ip virtual-reassembly ip policy route-map MAP_NetUP no ip mroute-cache ! interface FastEthernet0/1 no ip address ip route-cache policy ip route-cache flow no ip mroute-cache no cdp enable no mop enabled ! interface FastEthernet0/1.20 encapsulation dot1Q 20 ip address 192.168.1.12 255.255.255.0 no ip redirects ip nat inside ip virtual-reassembly no ip mroute-cache no snmp trap link-status ! ip nat pool GoldenNAT 1.1.1.1 1.1.1.1 netmask 255.255.255.0 ip nat inside source list ACL_Golden_NAT pool GoldenNAT overload ! ip access-list extended ACL_Golden_NAT deny ip host 192.168.1.125 any permit ip 192.168.0.0 0.0.255.255 any ! route-map MAP_NetUP permit 10 description ---------- Retrasmit to calculate traffic for private addresses ---------- match ip address ACL_netflow_rev set interface Loopback0 ! end Буду благодарен за любую помощь.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "Снова Cisco NAT + Netflow"

Сообщение от sda (??) on 07-Июн-07, 13:04

а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Снова Cisco NAT + Netflow"
	Сообщение от Alan_2004 (ok) on 07-Июн-07, 13:09
	>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя... > Да, забыл написать. version 12.4 Есть новее для 2811? И как там это реализовано?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "Снова Cisco NAT + Netflow"
	Сообщение от sda (??) on 07-Июн-07, 13:11
	>>а смысл loopback создавать для заворачивания? сейчас есть ios'ы без этого гемороя... >> >Да, забыл написать. > >version 12.4 > >Есть новее для 2811? И как там это реализовано? в 2811 не знаю. у меня просто 7200 там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий трафик... ip flow ingress ip flow engress
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "Снова Cisco NAT + Netflow"
	Сообщение от Alan_2004 (??) on 07-Июн-07, 23:53
	>в 2811 не знаю. у меня просто 7200 >там реализовано очень просто... пишется в конфе интерфейса, где надо считать исходящий/входящий >трафик... > >ip flow ingress >ip flow engress Нет, сейчас специально проверил. Отключил ip cache policy и ip cache flow на интерфейсах, убрал заворот на Loopback0 и включил ip flow ingress и ip flow engress на одном из сабинтерфейсов. Трафик полился, но снова без ответов DNS. В sh ip cache flow то же самое. Короче, эти варианты с ingress/egress тут ни при чем.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Снова Cisco NAT + Netflow"
	Сообщение от littlevik on 08-Июн-07, 07:08
	>Отключил ip cache flow на интерфейсах... А вот этого НЕ НАДО!
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Снова Cisco NAT + Netflow"
	Сообщение от Alan_2004 (ok) on 08-Июн-07, 09:31
	>>Отключил ip cache flow на интерфейсах... >А вот этого НЕ НАДО! Так ведь я же все равно видел трафик на коллекторе. Насколько я понял из доки, ip flow egress/ingress позволяют генерить netflow на сабах и без включенного ip cache flow на физическом интерфейсе. А вот как раз при включенном ip cache flow они уже не играют роли.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]